Cabecera-v2-web.jpg

Malware para Android compromete más de un millón de cuentas de Google


CheckPoint ha anunciado una nueva campaña de malware, que bajo el nombre de Gooligan ha comprometido más de un millón de cuentas de Google, y continúa creciendo a un ritmo de 13.000 dispositivos infectados al dí­a. En el Laboratorio Técnico se ha podido analizar algunas muestras de este malware.

Este malware no es nuevo, en realidad procede de una mezcla de varios anteriores, tales como GhostPush, Kemoge, HummingBad, sólo que esta vez ha llegado un poco más lejos con la combinación de distintos tipos de ataques. Check Point reconoce en su artí­culo que procede de una campaña de malware previa que tuvo su momento de gloria a finales del año 2015 y que se incluí­a en una versión maliciosa de la aplicación de backups SnapPea.

gooligan.jpg

Gooligan afecta a dispositivos con Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), lo que actualmente representa más de un 74% de los dispositivos actuales de los registrados en el market de Google. Calculan que el 9% de estos dispositivos infectados están en Europa y un 19% en América.

La infección comienza cuando un usuario descarga e instala una aplicación infectada por Gooligan en un dispositivo Android. Esta instalación se puede producir de diferentes maneras: desde correos basura (scam) invitando al usuario a probar una nueva aplicación, hasta en "markets" no oficiales. Tras la instalación de la aplicación infectada, ésta enví­a información del dispositivo al servidor punto de control (C&C del inglés Command&Control) de la campaña.

Tras esto, Gooligan descarga un rootkit del servidor C&C, lo instala en el dispositivo y lo ejecuta. Este rootkit aprovecha múltiples vulnerabilidades en Android 4 y 5 incluyendo las ya conocidas VROOT (CVE-2013-6282) y Towelroot (CVE-2014-3153). Estas vulnerabilidades, a pesar de tener más de tres años, siguen estando sin parchear en muchos dispositivos actuales dada la dificultad e incluso imposibilidad de actualizar muchos dispositivos. Si el exploit tiene éxito, el atacante tendrá control total del dispositivo y podrá ejecutar comandos con privilegios de forma remota.

gooligan_how.jpg

Las muestras que hemos analizado en nuestro laboratorio tratan de conectarse a estas dos URLs para descargar este rootkit, aunque en el momento del análisis aparecí­an caí­das:

  • hxxp://down.akwacdn.com/myroapk/rootmasterdemo1128_524[.]apk
  • hxxp://106.186.17.81/rootmasterdemo1128_524[.]apk

Después de conseguir el acceso root, Gooligan descarga e instala un nuevo módulo malicioso del servidor C&C. Este módulo se inyecta en la ejecución de Google Play o GMS (Google Mobile Services) para imitar el comportamiento del usuario y evitar su detección. Este nuevo módulo permite:

  • Robar la cuenta de correo electrónico de Google del usuario y la información del token de autenticación
  • Instalar aplicaciones de Google Play y calificarlas para aumentar su reputación
  • Instalar adware para generar ingresos

Cabe decir que la instalación de adware para generar ingresos se intenta conseguir a través del bombardeo al usuario con una técnica conocida como "drive-by-download". Esta consiste en indicar al usuario que debe descargar una aplicación/archivo pero sin dejar muy claro para qué. Con esto el malware se lucra a base de publicidad.

El token de autenticación de Google tiene una función clave. Este se asigna al usuario una vez se identifica en su cuenta de Google y con él se pueden realizar casi la mayorí­a de acciones relacionadas con los servicios del mismo. Ya se observó el mismo comportamiento en otras familias anteriormente (HummingBad) y el objetivo principal era votar aplicaciones positivamente en Google Play y comentarlas. En este caso sucede lo mismo.

Check Point pone a disposición de los usuarios un sitio web en el que comprobar si la cuenta Google ha sido comprometida por Gooligan: https://gooligan.checkpoint.com/.


En nuestro laboratorio se analizaron a mediados de agosto unas muestras que abrí­an una puerta trasera ("Backdoor") en los dispositivos y que finalmente resultó utilizar la misma infraestructura que esta nueva familia. La regla Yara que utilizamos para detectarlo: https://koodous.com/rulesets/1765

Por supuesto, al haberla detectado de manera tan prematura, esas aplicaciones no contení­an las mismas funcionalidades que ahora se han explicado, pero los usuarios de Koodous han estado protegidos desde entonces.

gooligan_Koodous.png


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11